Хронология атаки: пошаговый анализ вывода активов
Первые признаки атаки появились ещё 3 ноября 2021 года, когда была совершена транзакция с кошелька инвестора (0x97E…7a7df) на один из кошельков хакеров. Крупномасштабный вывод активов состоялся 21 ноября, когда мошенники списали почти 4 млн долларов в девяти отдельных транзакциях. Большая часть украденных токенов HEX была переведена на основной хакерский адрес, обозначенный как HEX Hacker 1 (HH1).
В тот же день средства были оперативно распределены между несколькими адресами с целью замести следы. HH1 направил 12,33 млн HEX (примерно $2,64 млн на тот момент) на адрес HEX Hacker 2 (HH2). Последующие месяцы также сопровождались переводами меньших сумм. Например, 10 декабря 2021 года ещё 616 700 HEX (примерно $86 700) были отправлены с HH1 на HH2, а 18 февраля 2022 года ещё 5,2 млн HEX (примерно $1 млн на момент транзакции) были выведены на отдельный адрес 0x719a...4Bd0c, где они остаются заблокированными и по сей день.
Помимо этого, мошенники использовали ещё один кошелёк (HH3), начиная с мая 2024 года, суммарно выведя около $108 тыс. в токенах HEX. Эти средства также были направлены через промежуточные адреса, связанные с ранее известными мошенническими операциями.
Цена токена HEX падает после взлома HEX19. Источник: CoinGecko
Связь с известными мошенническими схемами
В ходе детального расследования стало ясно, что взлом HEX19 не был единичным случаем. Сеть кошельков, использованных хакерами, оказалась связана с другими резонансными инцидентами. Так, один из промежуточных кошельков (0x837…2Ba9B) участвовал в схемах по отмыванию средств, взаимодействуя с децентрализованными финансовыми платформами, включая 1inch, и Ethereum-сервисом анонимизации транзакций Tornado Cash. Общий объём средств, прошедших через Tornado Cash с декабря 2021 по март 2022 года, составил более миллиона долларов.
Кошелек HEX19 потерял почти 4 миллиона долларов 21 ноября. Источник: Arkham Intelligence
Кроме того, расследование выявило прямую связь с мошенническим инцидентом февраля 2024 года — фейковым криптокошельком Rabby, похитившим $1,6 млн. Анализ блокчейн-данных продемонстрировал, что адреса, используемые при взломе HEX, также фигурировали в деятельности Inferno Drainer, масштабного мошеннического сервиса по фишингу и опустошению криптокошельков.
Фигура подозреваемого: кто стоит за Konpyl?
Расследование показало, что общий элемент всех этих мошеннических операций — аккаунт Konpyl, ранее уже известный правоохранительным органам и криптоаналитикам. В октябре 2024 года независимое расследование выявило, что за этим псевдонимом скрывается Константин Пылинский, топ-менеджер инвестиционной компании из Дубая. Пылинский публично отрицает любые обвинения, однако блокчейн-данные показывают, что кошельки, связанные с его онлайн-аккаунтом, многократно использовались для распределения украденных средств и организации схем отмывания денег.
По словам аналитика компании Fairside Network, специализирующейся на страховании криптоактивов, роль Konpyl скорее всего заключалась не в прямой организации взломов, а в предоставлении инфраструктуры для последующего отмывания похищенных криптовалют. Эти предположения подтверждаются многочисленными транзакциями, напрямую связывающими кошельки Konpyl с другими мошенническими операциями, включая атаки, организованные Inferno Drainer.
Последствия и текущая ситуация с активами инвестора
Пострадавший HEX 19 сообщил, что хранил seed-фразы от кошельков в облачных сервисах, что облегчило доступ злоумышленникам. Несмотря на обращение в правоохранительные органы, возврат украденных активов оценивается как крайне маловероятный. На сегодняшний день в кошельке инвестора остаётся девять активных стейков, однако их стоимость значительно ниже, чем ранее украденные средства. Эти стейки всё ещё доступны хакерам, и инвестор ожидает, что хищения могут продолжиться по мере истечения сроков блокировки активов.
За период с ноября 2021 по октябрь 2024 года аналитики зафиксировали как минимум 180 транзакций, признанных подозрительными, на общую сумму свыше 4,5 миллионов долларов. Несмотря на это, сам инвестор сохраняет спокойствие и подчёркивает, что утрата этих средств не повлияла на его финансовое благополучие и жизненный уклад, который он характеризует как умеренный и свободный от долгов.
Активные ставки не так ценны, как те, что закрыты хакерами. Источник: HEXscout
Выводы для криптосообщества и рекомендации по безопасности
Данный инцидент стал важным уроком для криптовалютного сообщества и продемонстрировал уязвимость даже опытных инвесторов перед продвинутыми фишинг-атаками. Ключевая рекомендация специалистов: никогда не хранить seed-фразы и приватные ключи от криптовалютных кошельков в онлайн-сервисах и облачных хранилищах. HEX 19 призывает других инвесторов быть максимально осторожными и использовать аппаратные кошельки с автономным хранением ключей, чтобы избежать подобных инцидентов в будущем.
